7.17. Настройка TACACS+

Назначение

Аутентификация предназначена для проверки прав доступа к сети и сетевым службам.

Описание

Система может использовать методы аутентификации AAA и методы аутентификации Non-AAA.

Аутентификация TACACS+ является одним из методов аутентификации AAA. TACACS+ - это распределенная система клиент/сервер, которая защищает сети от несанкционированного доступа.

Протокол TACACS+ широко используется в сетевых средах. Он обычно используется для встроенных сетевых устройств, таких как маршрутизаторы, модемные серверы, коммутаторы и т. д. Клиенты TACACS+ работают на маршрутизаторах и коммутаторах. Клиенты отправляют запросы на аутентификацию на центральный сервер TACACS+, который содержит всю информацию об аутентификации пользователей и доступе к сетевым сервисам.

Настройка

Ниже показана настройка аутентификации TACACS+ в соответствии с представленной сетевой конфигурацией.

image

Рис. 7.13 Конфигурация сети

Шаг 1: Вход в режим “Global config”

Switch# configure terminal

Шаг 2: Включение аутентификацию

Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication login tac-login tacacs-plus local
Switch(config)# aaa authorization exec default tacacs-plus
Switch(config)# aaa accounting exec default start-stop tacacs-plus
Switch(config)# aaa accounting commands default tacacs-plus

Шаг 3: Настройка сервера TACACS+

Switch(config)# tacacs-server host 1.1.1.2 port 123 key keyname primary

Шаг 4: Настройка порта

Switch(config)# interface eth-0-23
Switch(config-if)# no switchport
Switch(config-if)# ip address 1.1.1.1/24
Switch(config-if)# quit

Шаг 5: Настройка режима аутентификации

Switch(config)# line vty 0 7
Switch(config-line)#login authentication tac-login
Switch(config-line)#privilege level 4
Switch(config-line)# no line-password

Шаг 6: Выход из режима “Global config”

Switch(config-line)# end

Шаг 7: Проверка

Вывод статуса аутентификации:

Switch# show aaa status 
aaa stats:
     Authentication enable 
Вывод метода аутентификации:
Switch# show aaa method-lists authentication
authen queue=AAA_ML_AUTHEN_LOGIN
    Name = default  state = ALIVE :   local
Name = tac-login  state = ALIVE :   tacacs-plus local
Настройка сервера TACACS+

Пример использования

Шаг 1: Загрузка кода сервера TACACS+

Шаг 2: Создание сервера TACACS+

Шаг 3: Добавление имени пользователя и пароля в конфигурационный файл

#!../obj.linux-2.6.9-89.29.1.elsmp-x86_64/tac_plus
id = spawnd {
        listen = { port = 49 }
        spawn = {
                instances min = 1
                instances max = 10
        }
        background = no
}
        user = aaa {
                password = clear bbb
                member = guest
        }

Шаг 4: Запуск сервера

[disciple: ~]$ ./tac_plus ./tac_plus.cfg.in -d 1

Шаг 5: Проверка

Использование команды ping на ПК:

image